СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Статьи
СёрчИнформ
26.10.2022
#ИБ#Инфра

Коннекторов много не бывает? Какие источники должна контролировать SIEM в первую очередь

Коннекторов много не бывает? Какие источники должна контролировать SIEM в первую очередь

Чтобы SIEM-система работала максимально эффективно, она должна быть подключена ко всем имеющимся источникам данных ИТ-инфраструктуры. Это как с видеонаблюдением: чтобы у вас была полная картина того, что происходит в здании, камеры должны быть установлены во всех помещениях.

Но это в идеальном мире, в реальности 100% источников к SIEM-системе подключить не всегда получается. В таком случае ориентируйтесь на список самых критичных, то есть тех, которые нуждаются в контроле в первую очередь. Убедитесь, что коннекторы для этих источников в SIEM доступны «из коробки».

1. Коннектор EventLog (контролирует инфраструктуру MS (Active Directory, Exchange), вычитывает логи сервера Microsoft SQL и собирает данные любых приложений, способных сохранять данные в формате EventLog).

Предельно важно контролировать события безопасности Active Directory (AD). Это источник информации о том, кто, когда и где залогинился, о выдаче прав пользователям или блокировании учетных записей, изменении групповых политик и подключении внешних устройств.

Именно контроль Active Directory позволяет выявлять попытки брутфорса паролей или учетных записей, параллельное использование их на разных ПК. Это базис мониторинга работы пользователей в аккаунтах в большинстве компаний.

Таким образом, контроль AD дает очень много информации ИБ- и ИT-специалисту, в том числе по таким вопросам, как:

  • Временная выдача прав доступа AD;
  • Временное добавление учетной записи в группу;
  • Одна учетная запись на нескольких ПК;
  • Очистка журнала событий пользователем;
  • Устаревшие учетные записи.

2. Коннекторы для подключения почтовых серверов.

В компании часто бывают почтовые ящики, которые используются несколькими сотрудниками одновременно или ящики, владение которыми передается от сотрудника к сотруднику в ходе каких-то изменений в компании. Смена владельца почты может проходить как легитимно, так и нелегитимно – и представлять угрозу для компании. При выборе SIEM нужно учитывать, что система должна контролировать этот источник данных – как его работоспособность в целом, так и доступ к почтовым ящикам и информации в них.

Вот несколько примеров того, что нужно контролировать:

  • Доступ к почтовому ящику не владельца;
  • Смена владельца почтового ящика;
  • Предоставление доступа к ящику.

3. Коннекторы для подключения СУБД.

В базах данных всегда хранится конфиденциальная информация, поэтому действия администраторов на уровне СУБД обязательно необходимо контролировать при помощи SIEM. Так ИБ-специалист не пропустит изменения в базе данных, которые могут быть нелегитимными:

  • Изменение пароля имени входа админом БД;
  • Временное включение имени входа в состав роли;
  • Временная выдача доступа к объекту БД.

4. Коннекторы Syslog.

Если нужен мониторинг сетевого оборудования или серверов, отдельных рабочих ПК на Linux, то выбранная SIEM-система должна поддерживать формат журналов событий безопасности Syslog. Любая ОС Linux поддерживает его, причем это поддержка как на уровне самой ОС, так и на уровне приложений, работающих в этой среде. С помощью коннектора Syslog можно будет видеть:

  • События операционной системы;
  • События пользовательского уровня;
  • События системных демонов;
  • Вход/выход, учетные записи.

5. Коннекторы контроля среды виртуализации.

Сетевое железо тоже чаще всего подключается через Syslog, но при этом серверные структуры и данные хранятся при помощи различных сред виртуализации. Если они используются для обеспечения в компании критичных процессов, то их нужно подключать к SIEM – иногда средства виртуализации могут быть единственным способом вернуть работоспособность ИТ-системы.

Например, если VMware, на котором развернуты критичные для бизнеса ресурсы, выходит из строя, то вместе с ней тормозится вся деятельность компании.

Вот что нужно контролировать обязательно:

  • События входа/выхода VMview/VMware;
  • Неправильные пароли;
  • Удаление снапшотов.

6. Коннекторы для сетевых экранов и устройств комплексной сетевой безопасности.

В условиях участившихся кибератак сетевое железо чаще всего попадает в поле зрения злоумышленников, поэтому его нужно подключать к SIEM. Но в каждой компании свой комплект сетевого оборудования. Поэтому при выборе SIEM-системы нужно обращать внимание, поддерживает ли вендор этот набор. Своевременно фиксировать атаки можно по следующим правилам:

  • События маршрутизации локального/запрещенного/разрешенного трафика;
  • Изменения конфигураций брандмауэра;
  • События VPN-соединений и работы с оборудованием контроля и сбора данных.

Итак, чтобы не прогадать с коннекторами и получить максимум пользы от внедрения SIEM, при выборе нужно ответить на вопросы: «Какие есть источники данных?», «Какие источники данных нужно контролировать в первую очередь?», «Если происходит миграция на другие источники, то будут ли они поддерживаться системой?».

Кроме того, на тесте имеет смысл нагружать систему по максимуму, то есть запускать ее не на демо-стенде и не в изолированном сегменте сети, а сразу в рабочей нагруженной инфраструктуре. Такой подход сразу показывает, подходит система или нет, и уберегает от ситуации, когда что-то не сработает в реальной эксплуатации.

Автор – Павел Пугач, системный аналитик «СёрчИнформ».

СёрчИнформ
Автор: СёрчИнформ
Российская компания, производитель программного обеспечения для защиты от утечек информации, контроля продуктивности сотрудников за ПК и управления событиями информационной безопасности.
Комментарии: